Быстрый старт

Версия Termit: 2.2

1. Быстрый старт

Быстрый старт поможет вам ознакомиться с процессом установки и настройки системы терминального доступа «Термит» (СТД «Термит») в режиме «Standalone».

«Standalone» — это тип развертывания, который не требует высокой доступности и отказоустойчивости системы. Такой вариант подходит для тестовой инсталляции. Также СТД «Термит» можно развернуть в режиме «High Availability» с несколькими брокерами, балансировщиком нагрузки, шлюзом удаленного доступа, с внутренними и внешними пользователями. Подробнее в руководстве по установке.

В этом разделе описаны шаги по:

2. Шаг 1. Подготовка окружения

Этот сценарий предполагает установку компонентов на операционных системах (ОС) на РЕД ОС 7.3.4 и Windows Server 2019. Установку на других ОС смотрите в руководстве по установке.

Для подготовки окружения:

В «СТД Термит» не предусматривается установка всех компонентов на одном сервере, в том числе и в тестовой среде.

  1. Разверните минимум четыре виртуальные машины (ВМ):

    • для терминального сервера на Windows и Linux;

    • для брокера. На этой ВМ будет устанавливаться сервис;

    • для сервера баз данных.

  2. Подготовьте клиентскую машину на Windows или Linux.

  3. Проверьте доступ к службе каталогов AD.

  4. Введите терминальный сервер в домен службы каталогов.

  5. Проверьте с помощью команд nslookup, ping, что брокер, терминальный сервер и база данных зарегистрирован на DNS-сервере и доступен. В выводе команды не должно быть ошибок.

  6. В каталоге пользователей:

    1. создайте сервисную учетную запись для синхронизации объектов из службы каталогов. Обязательно отключите опцию «User must change password at next logon» и включите «Password never expires»;

    2. создайте три группы, например «termit admins», «termit helpdesk» и «termit users»;

    3. добавьте в состав групп учетные записи пользователей для взаимодействия с СТД «Термит».

Далее перейдите к настройке базы данных.

3. Шаг 2. Базовая конфигурация базы данных

  • Повторное использование базы данных (БД) для новой инсталляции невозможно.

  • Не поддерживается развертывание БД и брокера на одном сервере.

  • В этой инструкции используется последняя доступная версия СУБД PostgreSQL 15. В случае если используется другая версия, то выполняемые команды необходимо изменить. Более подробно можно ознакомиться на сайте документации РЕД ОС.

В этом разделе представлена базовая информация по подготовке сервера баз данных PostgreSQL на РЕД ОС.

  1. Установите PostgreSQL с помощью команды:

    sudo dnf install postgresql15-server
  2. Инициализируйте базу данных с помощью команды:

    sudo postgresql-15-setup initdb
  3. Запустите сервис PostgreSQL с помощью команды:

    sudo systemctl enable postgresql-15.service --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/15/data/postgresql.conf параметр listen_addresses должен соответствовать значению '*':

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  bd1

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  5. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  bd2

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  6. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  7. Запустите командную оболочку postgres с помощью команды:

    psql
  8. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

    CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
  9. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

    exit
  10. Перезапустите сервис PostgreSQL с помощью команды:

    sudo systemctl restart postgresql-15.service

Далее перейдите к установке брокера.

4. Шаг 3. Установка брокера

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

  • Запуск команд выполняется от учетной записи, имеющей повышенные привилегии sudo.

  • Не поддерживается развертывание БД и брокера на одном сервере.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo dnf install docker-ce docker-ce-cli docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  5. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль локального администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым, например «broker.example.com».

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN-адрес брокера (инсталляция «Standalone»), например «broker.example.com». Портал будет доступен по этому адресу.

    Появится сообщение: Do you want to connect to existing database or create a new one? (1/2)

  11. Укажите «2» для создания новой базы данных.

  12. Укажите имя хоста БД, например «db.example.com».

  13. Укажите порт «5432».

  14. Укажите имя новой БД, например «termitdb».

  15. Укажите имя пользователя БД, например «termit».

  16. Введите пароль для БД.

Установка брокера занимает около двух минут.

Для подтверждения успешной операции перейдите на страницу, например «broker.example.com», и проверьте, что брокер доступен и отображается страница аутентификации.

Далее перейдите к настройке брокера.

5. Шаг 4. Настройка брокера

В этом разделе описано, как создать сервер и группу серверов, настроить LDAP, добавить роли и опубликовать приложение.

5.1. Создание сервера

Чтобы создать терминальный сервер:

  1. В браузере, в адресной строке введите адрес брокера, например https://broker.example.com.

  2. На странице авторизации укажите:

    • Учетная запись — tadm.

    • Пароль — admin.

  3. Нажмите Войти.

  4. На портале администрирования, в левом меню выберите раздел Серверы.

  5. В правом верхнем углу нажмите Новый сервер.

  6. На вкладке Новый терминальный сервер:

    • FQDN адрес сервера — укажите FQDN-адрес терминального сервера.

    • Тип — выберите операционную систему Linux или Windows.

      s  new server1
  7. Нажмите Далее.

  8. На вкладке Группа терминальных серверов группу выбирать не нужно, так как она еще не создана.

  9. Нажмите Далее.

  10. На вкладке Подтверждение информации проверьте информацию о сервере и нажмите Создать.

  11. Скопируйте указанную команду в надежное место. Она понадобиться после настройки терминального сервера.

Созданный сервер появится в списке со статусом «Включен». Далее перейдите к настройке протокола LDAP.

5.2. Настройка LDAP

В системе для аутентификации пользователей по паролю и получения информации о пользователях, группах и связях между ними используется служба каталогов Active Directory (AD). Подробнее о настройке других LDAP-каталогов смотрите в руководстве администратора.

Также поддерживаются защищенные протоколы передачи данных LDAP Over SSL и LDAP StartTLS.

Чтобы настроить LDAP:

  1. В левом меню выберите раздел Настройки.

  2. На вкладке Общие настройки наведите указатель мыши на LDAP и нажмите b  pencil.

  3. Включите LDAP используется.

  4. Задайте параметры для подключения службы каталогов:

    • Базовое уникальное имя. Например, для домена example.com: «DC=example,DC=com»;

    • Имя пользователя. Например, для домена example.com: CN=termitsvc,CN=users,DC=example,DC=com;

    • Пароль — пароль от сервисной учетной записи;

    • Период синхронизации (минуты).

      s  ldap
  5. Нажмите Далее.

  6. Чтобы настроить параметры используемого типа LDAP:

    • Тип LDAP каталога — выберите AD:

      • Класс для объекта User — user

      • Класс для объекта Group — group

      • Атрибут, используемый для идентификации объектов — objectGUID

      • Атрибут, используемый для получения отображаемого имени пользователя — cn

      • Атрибут, используемый для получения отображаемого имени группы — cn

      • Атрибут, используемый для поиска пользователя — samAccountName

      • Атрибут со списком членов групп — member

      • Атрибут, содержащий имя объекта, указанное для списка членов групп — distinguishedName

      • Атрибут, используемый для аутентификации на терминальном сервере — msDS-PrincipalName

      • Для чтения большого количества пользователей в группе включите опцию Поддержка range для получения членов группы.

  7. Нажмите Далее.

  8. Чтобы добавить адрес сервера LDAP, нажмите b  add.

    Система всегда работает с первым сервером LDAP. Если сервер становится недоступен, система переходит к следующему.

  9. Укажите:

    • Адрес — IP-адрес или FQDN LDAP-сервера, например «termit-example-01.com».

    • Протокол — выберите из списка:

      Перед выбором протоколов LDAP Over SSL и LDAP StartTLS добавьте доверенный сертификат.

      • LDAP — технология шифрования данных при подключении к LDAP-серверу не используется. Данные передаются в открытом виде по порту 389. Не рекомендуется использовать в продуктовых инсталляциях.

      • LDAP Over SSL — защищенная версия протокола LDAP, которая использует технологию шифрования SSL/TLS при подключении к LDAP-серверу по порту 636.

      • LDAP StartTLS — защищенная версия протокола LDAP, при использовании которой сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование.

    • Порт — порт выбирается автоматически в зависимости от выбранного протокола. При необходимости параметр можно изменить.

  10. Нажмите Сохранить  Далее.

  11. На вкладке Подтверждение информации проверьте информацию о сервере LDAP и соединение. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.

    При успешном соединении появится сообщение «Проверка соединения прошла успешна».

  12. Нажмите Сохранить.

    Состояние синхронизации LDAP и системы смотрите в левом меню, в разделе Журнал событий.

LDAP настроен. Перейдите к добавлению ролей.

5.3. Настройка ролей

В системе предусмотрены следующие роли:

  • Администраторы. Администраторы могут полностью контролировать систему, например, управлять серверами, пользователями и приложениями.

  • Служба поддержки. Служба поддержки может просматривать настройки, информацию о серверах и сессиях в разделе Обзор, журнал событий, список сессий, завершать сессии и блокировать пользователей. Выполняет функцию L1 технической поддержки.

  • Пользователи. У пользователей есть учетные записи, с помощью которых они имеют доступ к СТД «Термит». Только пользователи могут запускать приложения.

Чтобы добавить:

  1. В левом меню выберите раздел Настройки.

  2. Перейдите на вкладку Роли.

  3. Наведите указатель мыши на Администраторы и нажмите b  pencil.

  4. Нажмите b  add.

  5. Добавьте группы из каталога пользователей для роли администраторов. Можно добавить несколько групп. Поддерживаются вложенные группы.

  6. Нажмите Сохранить  Сохранить.

Добавленная роль появится в списке.

Для ролей Служба поддержки и Пользователи повторите действия из шагов 3-6. Далее перейдите к созданию группы серверов.

5.4. Создание группы серверов

Чтобы создать группу серверов:

  1. В левом меню выберите раздел Группы серверов.

  2. В правом верхнем углу нажмите Новая группа.

  3. На вкладке Основные настройки:

    • Имя — укажите название группы терминальных серверов.

    • Тип — выберите операционную систему Linux или Windows.

    • (Опционально) Описание — добавьте описание группы серверов.

      s  name group
  4. Нажмите Далее.

  5. На вкладке Терминальные серверы выберите из списка сервер, который создали ранее.

    s  add group
  6. Нажмите Далее.

  7. На вкладке Подключение сетевых дисков можно настроить, какие сетевые диски будут доступны пользователям в терминальной сессии. Подробнее смотрите в руководстве администратора.

  8. Нажмите Далее.

  9. На вкладке Балансировка терминальных серверов оставьте значение весов по умолчанию. Подробнее о балансировке серверов.

  10. На вкладке Таймауты сессий оставьте значения по умолчанию. Подробнее смотрите в руководстве администратора.

  11. Нажмите Далее.

  12. На вкладке Подтверждение информации проверьте информацию о группе серверов и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.

Созданная группа появится в списке. Далее перейдите к публикации приложения.

5.5. Публикация приложения

Чтобы опубликовать приложение:

  1. В левом меню выберите раздел Приложения.

  2. В правом верхнем углу нажмите Добавить приложение.

  3. На вкладке Основные настройки:

    • Имя — укажите название приложения, например «Блокнот».

    • (Опционально) Наименование у пользователя — укажите название приложения, которое будет отображаться у пользователя, например «Блокнот».

    • Операционная система — выберите Linux или Windows.

    • Тип — выберите Приложение или Рабочий стол.

    • Команда для запуска — укажите команду:

      • для запуска приложения. Необходимо задать полный путь к файлу приложения, например C:\Program Files\Microsoft VS Code\Code.exe.

        s  add app1

        Короткую команду можно использовать, если:

        • она позволяет запустить приложение напрямую на терминальном сервере;

        • расположение приложения добавлено в переменную среды PATH, например notepad.exe.

      • для запуска рабочего стола:

        • Linux:

          • XFCE — xfce4-session

          • MATE — mate-session

          • FLY — fly-wm

        • Windows:

          • Explorer — explorer.exe

    • (Опционально) Версия — версия приложения.

    • (Опционально) Описание — описание приложения.

  4. Нажмите Далее.

  5. На вкладке Группа терминальных серверов выберите группу серверов для приложения, которую создали ранее.

    s  group server1
  6. Нажмите Далее.

  7. На вкладке Группы доступа приложения:

    1. Нажмите b  add и выберите из списка группу, которая будет иметь доступ к этому приложению.

    2. Нажмите Сохранить.

  8. Нажмите Далее.

  9. На вкладке Подтверждение информации проверьте информацию о приложении и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.

После добавления приложение появится в списке со статусом «Вкл.».

6. Шаг 5. Настройка терминального сервера

Перед установкой агента на терминальный сервер установите дополнительное ПО на терминальный сервер.

Windows

Ниже описано, как добавить роль, агент и изменить политики пользователей на терминальном сервере.

Для Windows Server 2012R2 и Windows Server 2016 (редакции ниже 1803) необходимо:

  1. Установить утилиту curl.

  2. Установочные файлы из архива curl, из каталога bin, разместить в системной директории C:\Windows\system32.

  3. Установить Latest Microsoft Visual C++ Redistributable Version.

  1. Активируйте роль «Remote Desktop Session Host» («Узел сеансов удаленных рабочих столов»):

    1. Откройте Диспетчер серверов  Панель мониторинга.

    2. В правом верхнем углу нажмите Управление.

    3. Выберите Добавить роли и компоненты.

    4. Нажмите Далее.

    5. На вкладке Тип установки оставьте по умолчанию опцию Установка ролей и компонентов.

    6. Нажмите Далее.

    7. На вкладке Выбор сервера оставьте по умолчанию Выберите сервер из пула серверов.

    8. Нажмите Далее.

    9. На вкладке Роли сервера включите опцию Службы удаленных рабочих столов.

    10. Нажмите Далее  Далее  Далее.

    11. На вкладке Службы ролей включите опцию Remote Desktop Session Host (Узел сеансов удаленных рабочих столов) и нажмите Добавить компоненты.

    12. Нажмите Далее  Установить.

      После установки и добавления роли перезагрузите ВМ.

  2. Включите политику «Разрешить удаленный запуск любых программ» и выключите политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов»:

    1. Откройте консоль MMC.

    2. В левом верхнем углу нажмите Файл и выберите Добавить или удалить оснастку.

      s  politics2
    3. В доступных оснастках выберите Редактор объектов групповой политики.

    4. В параметре Объект групповой политики оставьте по умолчанию Локальный компьютер.

    5. Нажмите Готово  ОК.

    6. Раскройте Политика «Локальный компьютер».

    7. Раскройте Конфигурация компьютера  Административные шаблоны  Компоненты Windows.

      s  politics3
    8. Выберите Службы удаленных рабочих столов  Узел сеансов удаленных рабочих столов  Подключения.

      s  politics1
    9. Нажмите два раза правой кнопкой мыши на политику «Разрешить удаленный запуск любых программ».

    10. Активируйте опцию Включено и нажмите ОК.

    11. Нажмите два раза правой кнопкой мыши на политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов».

    12. Активируйте опцию Отключено и нажмите ОК.

    13. Откройте cmd.exe и примените политики с помощью команды gpupdate /force или перезагрузите сервер.

      После успешной операции в выводе команды появится сообщение «Computer Policy update has completed successfully».

  3. Добавьте «Разрешить доменным пользователям подключаться по RDP»:

    1. Удобным способом откройте Управление компьютером.

    2. Выберите Локальные пользователи и группы.

      s  comp
    3. Выберите Группы  Пользователи удаленного рабочего стола.

    4. Двойным кликом мыши нажмите на Пользователи удаленного рабочего стола.

    5. Нажмите Добавить.

    6. В поле Введите имена выбираемых объектов (примеры): введите Пользователи домена.

    7. Нажмите ОК  ОК.

  4. Настройте порты.

  5. Установите агент, используя скрипт, полученный при создании сервера.

РЕД ОС

Ниже описано, как установить Java 11, X2Go и агент на терминальный сервер.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. Чтобы установить Java 11 на терминальный сервер, выполните команду:

    sudo dnf install java-11-openjdk
  3. Чтобы изменить версию Java, используемую по умолчанию, выполните команду:

    sudo alternatives --config java

    И выберите пункт меню, соответствующий Java 11.

  4. Чтобы установить X2Go server на терминальный сервер, выполните команду:

    sudo dnf install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver x2goagent
  5. Настройте межсетевой экран.

  6. Установите агент, используя скрипт, полученный при создании сервера.

7. Шаг 6. Установка десктоп-клиента

В этом разделе описано, как установить десктоп-клиент на локальный ПК.

Windows

Чтобы установить десктоп-клиент:

  1. В левом меню выберите раздел Скачать клиент.

  2. Перейдите на вкладку Windows.

  3. Скачайте Термит клиент для Windows 10/11 и установите его.

После успешной установки десктоп-клиент будет запущен. Далее запустите приложение.

РЕД ОС

Чтобы установить десктоп-клиент:

  1. В левом меню выберите раздел Скачать клиент.

  2. Перейдите на вкладку Linux.

  3. Скачайте Термит клиент для Linux rpm и выполните шаги по установке.

  4. Установите FreeRDP:

    1. Обновите репозиторий с помощью команды:

      sudo dnf update
    2. Установите FreeRDP:

      sudo dnf install freerdp-krb
    3. Установите десктоп-клиент:

      sudo dnf install ./termit-desktop-2.*.*-amd64.rpm

      Где:

      ./termit-desktop-2..-amd64.rpm — название файла.

После успешной установки клиент будет запущен. Далее запустите приложение.

8. Шаг 7. Запуск приложения

Чтобы запустить приложение:

  1. Запустите десктоп-клиент Термит.

    Если корневой сертификат отсутствует в системе, то запустите клиент с параметром:

    --ignore-certs
  2. Укажите FQDN-адрес сервера, по которому доступна СТД «Термит», и нажмите Войти.

  3. Введите имя пользователя и пароль от доменной учетной записи.

    s  login user

    «tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.

  4. Нажмите Войти.

  5. Перейдите в раздел Приложения.

  6. На вкладке Все категории выберите приложение и нажмите b  play.

Откроется интерфейс приложения. Далее подключите ресурсы.

9. Шаг 8. Подключение ресурсов

В этом разделе описано, как подключить буфер обмена, принтер, смарт-карты, диски и звук удаленного рабочего стола.

Буфер обмена, принтер и смарт-карты

В разделе Настройки выполните следующие действия:

  1. Наведите указатель мыши на Локальные устройства и ресурсы и нажмите b  pencil:

    • Чтобы включить общий буфер обмена для копирования материалов, включите опцию Общий буфер обмена.

    • Если вы хотите печатать на принтер, который подключен к локальному ПК, то включите опцию Доступ к принтерам локального компьютера.

    • Если вы хотите подписывать документы в терминальной сессии (RDP) с использованием локальных смарт-карт, то включите опцию Перенаправление смарт-карт.

  2. Нажмите Обновить.

Диски

Если необходимо перенести, например, документы с локального компьютера на терминальную сессию, можно подключить диск. Для этого:

  1. Наведите указатель мыши на Подключаемые диски и нажмите b  pencil.

  2. Нажмите b  add.

  3. Чтобы добавить диск, в параметре Расположение нажмите b  folder.

    s  disk
  4. Нажмите Сохранить  Обновить.

Звук удаленного рабочего стола

Чтобы включить воспроизведение звука удаленного рабочего стола:

  1. Наведите указатель мыши на Звук удаленного рабочего стола и нажмите b  pencil.

  2. Включите Воспроизведение звука удаленного рабочего стола.

    s  sound
  3. Нажмите Обновить.

Эта настройка также влияет на перенаправление звука с локального компьютера в сессию.